Útok s využitím phishingových QR kódů v Kimsuki

Americký Federální úřad pro vyšetřování (FBI) vydal veřejné varování, že severokorejští státem sponzorovaní aktéři hackerských útoků aktivně používají škodlivé QR kódy v cílených phishingových kampaních namířených proti organizacím ve Spojených státech. Tyto operace, pozorované v průběhu roku 2025, představují rostoucí posun směrem k „quishingu“ – phishingovým útokům, které se spoléhají na kódy rychlé odezvy (QR) k doručování škodlivého obsahu.

Kdo stojí za kampaněmi?

Aktivita je připisována skupině Kimsuky, v bezpečnostní komunitě známé také jako APT43, Black Banshee, Emerald Sleet, Springtail, TA427 a Velvet Chollima. Tento klastr je pravděpodobně spojen se severokorejským generálním průzkumným úřadem (RGB).

Kimsuky má dlouhodobou pověst sofistikovaných phishingových operací, zejména těch, jejichž cílem je obejít nebo podkopat kontroly ověřování e-mailů. V květnu 2024 americká vláda veřejně oznámila, že skupina zneužila slabé nebo nesprávně nakonfigurované zásady DMARC k odesílání e-mailů, které se přesvědčivě vydávaly za legitimní domény.

Proč QR kódy dělají tyto útoky tak nebezpečnými

Na rozdíl od tradičního phishingu odvádějí návnady založené na QR kódech oběti od systémů spravovaných firmou a přesouvají je na osobní nebo málo chráněná mobilní zařízení. Tento posun umožňuje útočníkům obejít podnikové nástroje pro zabezpečení e-mailů, platformy pro ochranu koncových bodů a ovládací prvky pro monitorování sítě.

Po naskenování škodlivé QR kódy přesměrují cíle na infrastrukturu ovládanou útočníkem, kde lze získat přihlašovací údaje, soubory cookie relace nebo citlivá data bez spuštění standardních podnikových upozornění.

Scénáře útoků pozorovaných FBI v roce 2025

FBI informovala o několika cílených kampaních vedených aktéry Kimsuky v květnu a červnu 2025, včetně:

• Vydávání se za poradce pro zahraniční politiku a žádost od vedoucího think-tanku o naskenování QR kódu pro přístup k dotazníku o vývoji na Korejském poloostrově
• Vydává se za zaměstnance ambasády a hledá odborný názor na lidská práva v Severní Koreji s QR kódem, který údajně odkazuje na „zabezpečený disk“.
• Vydával se za zaměstnance think tanku a odesílal QR kódy, které přesměrovávaly oběti na infrastrukturu ovládanou útočníkem pro následné zneužití.
• Zaměření se na strategickou poradenskou firmu s falešnými pozvánkami na konference a používáním QR kódů, které vedly k podvodným registračním stránkám vytvořeným za účelem krádeže přihlašovacích údajů k účtu Google prostřednictvím falešných přihlašovacích portálů.

Tyto incidenty těsně následovaly po samostatném odhalení bezpečnostních výzkumníků, kteří odhalili kampaň s QR kódy provozovanou společností Kimsuky, která distribuovala novou variantu malwaru pro Android s názvem „DocSwap“ prostřednictvím phishingových e-mailů napodobujících logistickou společnost se sídlem v Soulu.

Jak potlačování umožňuje narušení odolné vůči MFA

Moderní operace quishingu často vrcholí krádeží a přehráváním tokenů relace. Zachycením aktivních ověřovacích tokenů mohou útočníci zcela obejít vícefaktorové ověřování a převzít cloudové identity, aniž by spustili obvyklá varování „MFA selhala“.

Odtud útočníci vytvářejí perzistenci v prostředí oběti a často zneužívají napadenou poštovní schránku k internímu spuštění sekundárních phishingových kampaní. Protože k počátečnímu napadení dochází na nespravovaných mobilních zařízeních, mimo standardní pokrytí EDR a hranice inspekce sítě, je nyní potírání (quishing) považováno za vysoce spolehlivou techniku narušení identity odolnou vůči MFA v podnikových prostředích.